软件组成分析（SCA）工具与软件物料清单（SBOM）在CI CD管道中的深度集成.docxVIP

PAGE2

《软件组成分析（SCA）工具与软件物料清单（SBOM）在CI/CD管道中的深度集成》

一、调研概述

1.1调研背景与目的

随着软件供应链攻击事件频发，如SolarWinds与Log4j漏洞危机，业界对开源组件透明度的需求急剧升温。软件组成分析（SCA）负责识别代码中引用的第三方与开源组件及其已知漏洞，而软件物料清单（SBOM）则像一份配方清单，清晰列出全部组件成分与依赖关系。

但在传统开发流程中，SCA扫描与SBOM生成往往在发布前手动执行，导致反馈滞后、修复成本高。将两者深度融入持续集成/持续交付（CI/CD）管道，在代码提交、构建、部署等环节自动触发扫描，并将SBOM信息自动关联至制品库与运行时环境，已成为DevSecOps落地的关键实践。

本次调研旨在摸清SCA工具与SBOM集成方案的市场现状、技术成熟度与竞争格局。通过分析CI/CD环节的自动化深度集成模式，为安全开发团队选型工具、优化管线提供客观参考，同时帮助厂商洞察客户需求与技术演进方向，提升软件供应链安全的整体防御能力。

1.2研究范围与方法

调研聚焦SCA工具在CI/CD管道中的集成能力，重点关注代码提交（pre-commit/PR）、构建（build）、镜像打包、制品推送、部署发布等环节的自动触发机制，以及SBOM生成、存储、关联制品库与运行时同步的技术实现。研究覆盖北美、欧洲与亚太主要Dev